5 月 17 日,据社区反馈,pump.fun 疑似遭遇攻击,攻击者通过漏洞可无限参与该平台发布的 meme 币。截止发稿,Phantom 钱包已暂时屏蔽 pump.fun 项目官网。随后,Pump.fun 在 X 的一篇帖子中表示,团队意识到合约已被泄露,并且正在进行调查。
5 月 17 日,pump.fun 发布最新事件进展,表示其合约是安全的,攻击事件系一名前员工利用其在公司的特权位置盗用约 12300 枚 SOL(约 190 万美元)。目前,pump.fun 团队已重新部署了合约,并将未来 7 天内交易将恢复。为补偿用户,pump.fun 团队将在接下来的 24 小时内为在 UTC 时间 15:21 后每个受影响的代币注入大于或等于该代币的 SOL 流动性。
或为内部人员作案,只因「谈恋爱被发现」?
Wintermute 研究主管 Lgor Lamberdiev 发文表示,pump.fun 疑似私钥泄露导致被攻击,攻击者共盗取 2000 枚 SOL 和大量 MEME 币。
Lamberdiev 解释,5PXxuZ 是 Pump 的服务账户,主要用于将流动性从 pump.fun 联合曲线转移到 Raydium。其流程一般是需要有人进行最后一笔交易并添加足够流动性来部署 Raydium 池,随后 5PXxuZ 从曲线中撤回所有流动性,并将其加至 Raydium 中。
而在此次攻击事件中,其流程变为交易者开启 129 SOL 的闪电贷来购买 meme 代币,以此让 5PXxuZ 从联合曲线中提取流动性,随后偿还闪电贷,而 Raydium 上却无法创建流动性池。
有意思的是,5PXxuZ 是所有攻击交易的联合签名人,因此 Lamberdiev 认为尽管存在内部人员作案的可能,但这至少说明团队私钥已被泄露。
而此次事件的幕后攻击者也似乎十分高调,X 用户名 @STACCoverflow 的用户在 X 发推文表示自己「即将改变历史进程」。另外,他在推文中暗示自己不打算保留被盗的资金,而是计划将联合曲线的剩余余额转让给部分代币用户。
还有 X 用户 @gucciprayers 表示,此次事件是因为 2 个 pump.fun 的开发者相爱了,在被创始人发现后「威胁要通过发 meme 的形式揭露他们的秘密」,导致其中一个人惊慌失措并入侵了平台以阻止该 meme 被部署。当然,这一说法的真实性尚未经过证实。
pump.fun 早就赚麻了
作为一个专门炒 Meme 的平台,Pump.fun 最初是为 Solana 推出的。在该平台上,人们可以以低于 2 美元的成本价部署代币。目前,Pump.fun 也许已经是 Solana 生态上流量最大的 Memecoin 平台,并增加了对以太坊 L2 Blast 的支持。
由于推出 Meme 的成本极低,因此每天都有大量新的交易对在去中心化交易所上市,这使得它成为一个快节奏的领域。但也正因如此,大多数 Meme 项目的平均寿命往往在 24 小时甚至更短,这主要是因为不良行为者试图利用这种狂热,通过精心策划骗局和营销来欺骗雄心勃勃、毫无戒心的投资者。
根据 dune 数据显示,pump.fun 的协议总收入已经达到 147,661SOL,约 2158 万美元。作为今年 1 月份启动的项目,pump.fun 的现金流收益无疑是很高的。
Solana 土狗季结束了?
pump.fun 被盗后,社区就这款 meme 发行产品的讨论颇多,许多用户表示,自己「很少在平台上赚到钱」。X 用户 @YeruiZhang 表示 pump.fun 的出现是「Sol 土狗季的一个终点,给人的感觉像是 Blur 之于 ETH NFT」,这一观点尤其引起社区的热烈讨论。
@YeruiZhang 认为,pump.fun 让 Solana 上的 meme 可交易范围从百万甚至千万美元级别下降到十万美元级别,虽然有少数成功案例,但 pump.fun 的出现使得 meme 币博弈的起点更低,增加了早期控盘的难度。另外大量同名 meme 币的出现也会使用户在买到错误的 meme 后续消耗对「接盘」的情绪。
而 @tradergirlsuki 则不认为这是 meme 币的结束,并表示之后会有新的、高质量的发币机制,以及其他类别资产的链上发行。
@tradergirlsuki 认为,早期控盘对于 meme 的起盘很重要,筹码不在手中则很难起盘。而 pump.fun 让散户难以赚到钱,那么市场自然会去寻找找新的途径,「冲土狗,找 alpha 是永恒不变的命题」。
目前,pump.fun 团队已重新部署了合约,并将未来 7 天内交易将恢复。为补偿用户,pump.fun 团队将在接下来的 24 小时内为在 UTC 时间 15:21 后每个受影响的代币注入大于或等于该代币的 SOL 流动性。Solana 的 meme 季狂欢是否会就此结束?生态内还会不会有新的「pump.fun」替代者,值得我们持续地关注下去。